CVE-2025-68580: CSRF in Advanced Classifieds & Directory Pro

यह CSRF भेद्यता हमलावरों को उपयोगकर्ता की जानकारी के बिना, उपयोगकर्ता के खाते के माध्यम से अनधिकृत क्रियाएं करने की अनुमति देती है। हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, कॉन्फ़िगरेशन बदल सकते हैं, या यहां तक ​​कि दुर्भावनापूर्ण कोड भी इंजेक्ट कर सकते हैं। उदाहरण के लिए, एक हमलावर उपयोगकर्ता की जानकारी को संशोधित कर सकता है, नए विज्ञापन बना सकता है, या मौजूदा विज्ञापनों को हटा सकता है। इस भेद्यता का उपयोग अन्य प्रणालियों में आगे बढ़ने के लिए भी किया जा सकता है यदि Advanced Classifieds & Directory Pro अन्य प्रणालियों के साथ एकीकृत है।

Websites utilizing pluginsware Advanced Classifieds & Directory Pro versions 0.0.0 through 3.2.9 are at risk. This includes businesses and individuals relying on the plugin for classified listings or directory management. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit the vulnerability across multiple websites hosted on the same server.

• wordpress / composer / npm:

grep -r 'pluginsware/advanced-classifieds-and-directory-pro' /var/www/html
wp plugin list | grep advanced-classifieds

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=some_sensitive_action | grep Content-Type

1. 2025-12-24Disclosure

   disclosure

सक्रिय इंस्टॉलेशन

2Kज्ञात

प्लगइन रेटिंग

4.7

WordPress आवश्यक

6.3+

संगत संस्करण तक

7.0

PHP आवश्यक

5.6.20+

1. आरक्षित2025-12-19
2. प्रकाशित2025-12-24
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, Advanced Classifieds & Directory Pro को संस्करण 3.3.0 में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को ब्लॉक करने के लिए किया जा सकता है। इसके अतिरिक्त, सभी संवेदनशील क्रियाओं के लिए उपयोगकर्ता इनपुट को मान्य करना और CSRF टोकन का उपयोग करना महत्वपूर्ण है। CSRF टोकन यह सुनिश्चित करते हैं कि अनुरोध उपयोगकर्ता द्वारा ही किया गया है।